ING (DiBa) - Die Bank für mich?

[kariya]

Merkwürdig, ich hatte den Hinweis nie. Weder auf dem A6 Handy noch auf dem A8 Tablet.

[domkapitular]

Solche Hinweise hatte ich noch nie.

Bei mir war nach der heutigen Anmeldung folgendes Schreiben in der Postbox:

 

 

Ihre Android-Version ist veraltet, wechseln Sie bitte auf eine aktuelle Version
Sehr geehrte Damen und Herren,
eine wichtige Änderung in der Android-Welt steht vor der Tür: Die Android-Versionen 5 und 6 erfüllen in Kürze einige
wichtige Sicherheitsstandards nicht mehr. Das bedeutet, dass die App Banking to go ab 16.07.2021 nicht mehr auf
Ihrem Gerät funktioniert.
Damit Sie Ihre Bankgeschäfte weiterhin über die App machen können, brauchen Sie:
• Ein Smartphone oder Tablet, das mindestens Android 7 unterstützt
• Die neueste Version unserer App Banking to go
Deshalb handeln Sie bitte bis zum 16.07.2021:
› Falls möglich aktualisieren Sie Ihre Android-Version. Gehen Sie dazu in die Einstellungen Ihres Smartphones oder
wenden Sie sich für weitere Informationen an den Hersteller Ihres Gerätes. Danach laden Sie die aktuelle App aus
dem Google Play Store. Nach dem Update können Sie Banking to go wie gewohnt weiter zum Freigeben verwenden.
› Sie können die App auch auf einem neueren Gerät installieren. Laden Sie dazu Banking to go kostenlos aus dem
Google Play Store herunter. Die Neuinstallation können Sie einfach bis zum 16.07.2021 mit dem alten Gerät freigeben.
› Wenn Sie weder die Android-Version auf Ihrem aktuellen Gerät aktualisieren können noch ein neueres Gerät im
Haushalt zur Verfügung haben, wechseln Sie bitte das Freigabeverfahren.
1. Prüfen Sie, ob Sie noch eine iTAN-Liste haben. Falls ja, geht es direkt weiter mit Schritt 3. Falls nein, bestellen Sie
bitte zunächst eine neue Liste in Ihrem Internetbanking. Die Bestellung der Liste geben Sie mit der App frei. Die Liste
schicken wir Ihnen per Post zu, das kann ein paar Tage dauern.
2. Haben Sie bereits Ihre iTAN-Liste erhalten? Dann aktivieren Sie sie im Internetbanking und geben Sie die Aktivierung
mit der App frei.
3. Löschen Sie nun im Internetbanking das zum Freigeben hinterlegte Gerät mit der veralteten Android-Version. Damit
werden Sie automatisch auf das iTAN-Verfahren umgestellt.
4. Wechseln Sie danach bitte weiter zum photoTAN-Verfahren. Gehen Sie dafür unter Service > Sicherheit > Freigabe-/
TAN-Verfahren bei iTAN auf „Verwalten“. Hier können Sie den photoTAN-Generator bestellen. Die Lieferzeit beträgt in
der Regel bis zu 5 Werktage, der Versand ist nur innerhalb Deutschlands möglich. Sobald das Gerät bei Ihnen eintrifft,
loggen Sie sich einfach in Ihr Internetbanking ein. Sie werden dann automatisch zur Aktivierung des photoTAN-Generators
weitergeleitet.
Bitte beachten Sie, dass Sie keine Bankgeschäfte im Internetbanking machen können, bis Sie den photoTAN-Generator
aktiviert haben. Weitere Informationen zum photoTAN-Verfahren finden Sie unter www.ing.de/hilfe/auftraege-freigeben/
phototan/.
Mit freundlichen Grüßen
Ihre ING

[kariya]

Danke, das gibt den nächsten shitstorm auf die ING. Bin gespannt ob die das durchhalten.

[Kuffour]

vor 3 Minuten von kariya:

Danke, das gibt den nächsten shitstorm auf die ING. Bin gespannt ob die das durchhalten.

Ein Shitstorm, weil ein fast sechs Jahre altes Handybetriebssystem aus Sicherheitsgründen nicht mehr unterstützt wird? 

Ich glaube kaum... Tatsächlich ist es das einzig richtige den Support von veralteter Technologie einzustellen.

[kariya]

vor 29 Minuten von Kuffour:

Ich glaube kaum... 

Mit einer Frist von weniger als 3 Wochen, als einzig mögliches, frei zugängliches Identifikationsmerkmal für Girokunden? Ich glaube schon.

 

Im Übrigen, ich habe ich bisher keine Mitteilung der ING erhalten. Weder in der App noch im Postfach.

[Geldhaber]

Was bin ich froh, dass ich Onlinebanking bei anderen Banken noch mit TAN machen kann.  Kein Smartphone, keine Apps. Aber auch kein Girokonto bei ING, sondern nur Depot + Tagesgeldkonto (und darum auch dort mit TAN). 

[stagflation]

Vielleicht sollte man einfach einsehen, dass Smartphones generell unsicher sind.

 

Wer Sicherheit will, sollte einfach keine Smartphones benutzen.

[Geldhaber]

Sehe ich auch so, fürchte aber, dass sich Smartphones und Apps beim Onlinebanking auf die Dauer nicht werden vermeiden lassen. Wir werden alle früher oder später dazu gezwungen werden.

Momentan wird man nur freundlich dazu ermuntert, doch bitte die tolle App auszuprobieren. Irgendwann hat man dann keine Wahl mehr. 

[Kuffour]

vor 2 Stunden von kariya:

Mit einer Frist von weniger als 3 Wochen, als einzig mögliches, frei zugängliches Identifikationsmerkmal für Girokunden? Ich glaube schon.

 

Im Übrigen, ich habe ich bisher keine Mitteilung der ING erhalten. Weder in der App noch im Postfach.

Tatsächlich habe ich mir über die Frist keine Gedanken gemacht. Du magst Recht haben, dass das so nicht geht!

Grundsätzlich finde ich den Schritt aber richtig. Muss dann jedoch frühzeitiger und transparenter kommuniziert werden.

[Belgien]

vor 5 Stunden von kariya:

Mit einer Frist von weniger als 3 Wochen.

Wie kommst Du auf 3 Wochen? Abschaltung am 16.07., das sind nach meiner Rechnung mehr als 7 Wochen von heute an gerechnet.

[kariya]

vor 50 Minuten von Belgien:

Wie kommst Du auf 3 Wochen? Abschaltung am 16.07., das sind nach meiner Rechnung mehr als 7 Wochen von heute an gerechnet.

Hatte es bereits selbst bemerkt. Gedanklicher Zahlendreher 16.07./17.06. Das Alter.... Einen Hinweis seitens Diba habe ich allerdings aktuell noch nicht; vielleicht schaffen wir die 3 Wochen ja noch . Forum zählt nicht.

[mattes77]

Am 27.5.2021 um 16:51 von Geldhaber:

Sehe ich auch so, fürchte aber, dass sich Smartphones und Apps beim Onlinebanking auf die Dauer nicht werden vermeiden lassen. Wir werden alle früher oder später dazu gezwungen werden.

Momentan wird man nur freundlich dazu ermuntert, doch bitte die tolle App auszuprobieren. Irgendwann hat man dann keine Wahl mehr. 

Ich hoffe doch, dass esd nicht so kommt. Wie bereits angesprochen, sind Smartphones und ganz besonders die darauf installierten "tollen" Apps. nicht gerade ein Musterbeispiel für IT Sicherheit!

[tramuser]

@mattes77 :  Ist denn deiner Meinung nach ein online-banking mittels Browser wirklich sicherer, OS mal außen vor?

 

Oder eine Drittanbieter-Software in Win-Umgebung, der man seine Zugangsdaten anvertraut?

 

Gruß tramuser

[Totti3004]

vor 16 Stunden von mattes77:

ch hoffe doch, dass esd nicht so kommt. Wie bereits angesprochen, sind Smartphones und ganz besonders die darauf installierten "tollen" Apps. nicht gerade ein Musterbeispiel für IT Sicherheit!

Kannst du die Meinung bezogen auf die ING App auch begründen?

[Mrtn17]

Oh je, jetzt kommt wieder 10 Seiten Sicherheitsdiskussion 

[Totti3004]

vor einer Stunde von JimmyG:

Oh je, jetzt kommt wieder 10 Seiten Sicherheitsdiskussion 

Muss ja nicht sein

Aber wenn eine Behauptung unbegründet in den Raum gestellt wird, darf man mal nachhaken  

[kariya]

Das Problem bei der ING ist halt, dass sie hbci quasi abgekündigt, das nach einem shitstorm halbherzig zurückgenommen hat und jetzt auschliesslich auf eine App setzt, die 2 Faktoren in einer App realisieren soll. Natürlich ist das sicherheitskritisch, deshalb jetzt ja zunächst die Einschränkung auf Android >=7.

 

Warum nicht, wie z B die DKB, die 1822 oder die Genobanken, eine reine nackte TAN App als 2.Faktor?

[Staatenverbund]

Am 27.5.2021 um 14:21 von Kuffour:

Ein Shitstorm, weil ein fast sechs Jahre altes Handybetriebssystem aus Sicherheitsgründen nicht mehr unterstützt wird? 

Ich glaube kaum... Tatsächlich ist es das einzig richtige den Support von veralteter Technologie einzustellen.

Einzig: Warum ist sechs Jahre alte Technologie "veraltet"?

 

Der Rechner, auf dem ich das hier tippe, ist erheblich älter als sechs Jahre. Und kein Sicherheitsrisiko. Und mein chipTAN-Generator ist auch erheblich älter als sechs Jahre. Und auch kein Sicherheitsrisiko. Und abseits von IT nutze ich ohne Probleme allerlei Technologie, die noch viel älter ist.

 

Die Frage, ob es sinnvoll ist, "alte" Android-Versionen weiter für Bank-Authentifizierungsverfahren zu nutzen, geht doch vollkommen am eigentlichen Problem vorbei. Die eigentliche Frage sollte sein, warum sie jemals für die Authentifizierung auf diese Plattform gesetzt haben - und warum sie es weiterhin tun.

 

Man sollte sich vor allem klar machen, dass Software nicht irgendwie rostet oder verrottet. Software ist nicht bei Veröffentlichung sicher und kriegt dann durch die Einwirkung von Naturgewalten mit der Zeit Sicherheits"löcher", weshalb man sie dann irgendwann entsorgen und durch fabrikneue Software ersetzen muss. Wenn heute jemand in einer vor sechs Jahren veröffentlichten Software eine Sicherheitslücke findet, dann war diese Sicherheitslücke da auch vor sechs Jahren schon drin. Und da die Sicherheitslücke da auch vor sechs Jahren schon drin war, konnte sie auch vor sechs Jahren schon ausgenutzt werden - wenn sie damals schon jemand gefunden und diese Information einfach für sich behalten hat.

 

Dass in dieser Plattform angesichts der Komplexität Sicherheitslücken zu finden sein würden, war auch damals schon zu erwarten, und auch damals war schon bekannt, wie man Authentifizierungsverfahren tatsächlich sicher macht, statt sie auf eine derart wackelige Grundlage zu stellen. Und nicht nur war das bekannt, sondern es wurde ja auch schon praktiziert: Bei allen kleineren Macken vermeidet das chipTAN-Verfahren zumindest diese Kategorie von Sicherheitsproblemen vollständig - und chipTAN ist einige Jahre älter als die erste Version von Android, und es gibt auch keinen Grund dafür, anzunehmen, dass es in sechs Jahren unsicherer sein wird als es heute ist.

 

Es ist aus Sicht von IT-Sicherheit absurd, es als naturgegeben anzusehen, dass man Authentifizierungsinstrument alle paar Jahre wegwerfen und neukaufen muss, es ist absurd, Authentifizierungsinstrumente heute als sicher anzusehen, wenn man gleichzeitig davon ausgeht, dass diese in wenigen Jahren als zu unsicher angesehen und deshalb abgekündigt werden. Und es ist natürlich auch aus ökologischer Sicht absurd, für Authentifizierungsverfahren auf eine Plattform zu setzen, die für auch nur ansatzweise Sicherheit darauf angewiesen ist, dass man alle paar Jahre das Gerät wegwirft - wenn gleichzeitig Authentifizierungsgeräte aus der Zeit vor Smartphones heute noch ohne Sicherheitsbedenken weiter eingesetzt werden können. Und letzteres sogar noch über Banken hinweg, im Gegensatz zu diesen PhotoTAN-Generatoren, von denen man dann einen pro Bank kaufen müsste, und die auch wieder Elektroschrott sind, wenn man die Bank wechselt.

 

Was wir brauchen, ist ein bankenübergreifender Standard für Authentifizierungsverfahren, bei dem ich mir eine konforme Implementation aussuchen kann, die dann mit allen Banken nutzbar ist. Dabei spricht nichts dagegen, auch Implementationen auf Smartphones zu haben, denn nicht jedes Bankkonto muss unbedingt besonders gut geschützt sein - aber an der Stelle ist dann eben auch eine Abkündigung für alte OS-Versionen unnötig, denn es spricht halt auch nichts grundsätzlich dagegen, z.B. ein Zahlungsverkehrskonto mit wenig Guthaben und minimalem Kreditrahmen mit einem unsicheren Endgerät zu authentifizieren, um damit alltägliche Zahlungen maximal bequem abzuwickeln.

[Staatenverbund]

vor 17 Stunden von tramuser:

@mattes77 :  Ist denn deiner Meinung nach ein online-banking mittels Browser wirklich sicherer, OS mal außen vor?

 

Oder eine Drittanbieter-Software in Win-Umgebung, der man seine Zugangsdaten anvertraut?

Zum einen: Naja, das OS spielt halt schon eine wesentliche Rolle? Nicht zuletzt, weil davon ja auch die Update-Möglichkeiten abhängen. Ich nutze verhältnismäßig uralte Hardware, aber darauf trotzdem aktuelle Browser mit aktuellem TLS und so, was für die Sicherheit halt schon ziemlich entscheidend ist.

 

Ansonsten: Wenn man z.B. chipTAN einsetzt, oder vielleicht noch besser FinTS mit Signaturkarte und Secoder: Ja! Also, die Sicherheit meines Rechners mit dem Banking-Browser drauf ist gut für die Vertraulichkeit, ist aber für die Sicherheit vor unberechtigten Vermögensverfügungen dann nicht relevant. Wenn ich z.B. eine Überweisung aufgebe, dann zeigt mir mein chipTAN-Generator die Transaktionsdaten an und nur wenn ich diese bestätige, generiert er eine TAN, die dann auch nur für diese Transaktionsdaten gültig ist. Ich könnte dir komplette Kontrolle über den Rechner geben und du könntest trotzdem keine unberechtigten Überweisungen auslösen.

 

(Genaugenommen geht es hierbei aber natürlich um den Authentifizierungsmechanismus, nicht um "das Online-Banking" an sich - man könnte ja im Prinzip auch chipTAN mit App-Banking auf dem Smartphone kombinieren, das hätte dann ähnliche Sicherheitseigenschaften. Das Problem ist die TAN-Generierung über das Smartphone, und insbesondere, wenn das Banking selbst und die TAN-Generierung über das gleiche Endgerät erfolgen.)

[west263]

ohh verdammt, jetzt fängt es wieder von vorne an.

Kann man diese Statements nicht in eigenen Thread verschieben. Das hatten wir doch vor ein paar Wochen, schon seitenlang.

[Totti3004]

vor 1 Stunde von Staatenverbund:

Der Rechner, auf dem ich das hier tippe, ist erheblich älter als sechs Jahre. Und kein Sicherheitsrisiko.

Und das weißt du woher? Ich würde mit einem 6 Jahre alten Rechner mit 6 Jahre alter Software (denn um die Software geht es hier ja!) kein Online-Banking mehr betreiben. 

 

vor 1 Stunde von Staatenverbund:

Es ist aus Sicht von IT-Sicherheit absurd, es als naturgegeben anzusehen, dass man Authentifizierungsinstrument alle paar Jahre wegwerfen und neukaufen muss, es ist absurd, Authentifizierungsinstrumente heute als sicher anzusehen, wenn man gleichzeitig davon ausgeht, dass diese in wenigen Jahren als zu unsicher angesehen und deshalb abgekündigt werden.

Nein, daran ist gar nichts absurd. Das ist die einfache Reaktion auf Sicherheitsrisiken, die man bei Inbetriebnahme schlicht noch nicht kannte oder die sich erst im Laufe der Zeit entwickelt haben. 

[mattes77]

vor einer Stunde von west263:

ohh verdammt, jetzt fängt es wieder von vorne an.

Kann man diese Statements nicht in eigenen Thread verschieben. Das hatten wir doch vor ein paar Wochen, schon seitenlang.

Ich werde die Diskussion jetzt an dem Punkt nicht weiterführen. Aber einige hier haben es verstanden, andere weniger!

vor 2 Stunden von Staatenverbund:

Einzig: Warum ist sechs Jahre alte Technologie "veraltet"?

 

Der Rechner, auf dem ich das hier tippe, ist erheblich älter als sechs Jahre. Und kein Sicherheitsrisiko. Und mein chipTAN-Generator ist auch erheblich älter als sechs Jahre. Und auch kein Sicherheitsrisiko. Und abseits von IT nutze ich ohne Probleme allerlei Technologie, die noch viel älter ist.

 

Die Frage, ob es sinnvoll ist, "alte" Android-Versionen weiter für Bank-Authentifizierungsverfahren zu nutzen, geht doch vollkommen am eigentlichen Problem vorbei. Die eigentliche Frage sollte sein, warum sie jemals für die Authentifizierung auf diese Plattform gesetzt haben - und warum sie es weiterhin tun.

 

Man sollte sich vor allem klar machen, dass Software nicht irgendwie rostet oder verrottet. Software ist nicht bei Veröffentlichung sicher und kriegt dann durch die Einwirkung von Naturgewalten mit der Zeit Sicherheits"löcher", weshalb man sie dann irgendwann entsorgen und durch fabrikneue Software ersetzen muss. Wenn heute jemand in einer vor sechs Jahren veröffentlichten Software eine Sicherheitslücke findet, dann war diese Sicherheitslücke da auch vor sechs Jahren schon drin. Und da die Sicherheitslücke da auch vor sechs Jahren schon drin war, konnte sie auch vor sechs Jahren schon ausgenutzt werden - wenn sie damals schon jemand gefunden und diese Information einfach für sich behalten hat.

 

Dass in dieser Plattform angesichts der Komplexität Sicherheitslücken zu finden sein würden, war auch damals schon zu erwarten, und auch damals war schon bekannt, wie man Authentifizierungsverfahren tatsächlich sicher macht, statt sie auf eine derart wackelige Grundlage zu stellen. Und nicht nur war das bekannt, sondern es wurde ja auch schon praktiziert: Bei allen kleineren Macken vermeidet das chipTAN-Verfahren zumindest diese Kategorie von Sicherheitsproblemen vollständig - und chipTAN ist einige Jahre älter als die erste Version von Android, und es gibt auch keinen Grund dafür, anzunehmen, dass es in sechs Jahren unsicherer sein wird als es heute ist.

 

Es ist aus Sicht von IT-Sicherheit absurd, es als naturgegeben anzusehen, dass man Authentifizierungsinstrument alle paar Jahre wegwerfen und neukaufen muss, es ist absurd, Authentifizierungsinstrumente heute als sicher anzusehen, wenn man gleichzeitig davon ausgeht, dass diese in wenigen Jahren als zu unsicher angesehen und deshalb abgekündigt werden. Und es ist natürlich auch aus ökologischer Sicht absurd, für Authentifizierungsverfahren auf eine Plattform zu setzen, die für auch nur ansatzweise Sicherheit darauf angewiesen ist, dass man alle paar Jahre das Gerät wegwirft - wenn gleichzeitig Authentifizierungsgeräte aus der Zeit vor Smartphones heute noch ohne Sicherheitsbedenken weiter eingesetzt werden können. Und letzteres sogar noch über Banken hinweg, im Gegensatz zu diesen PhotoTAN-Generatoren, von denen man dann einen pro Bank kaufen müsste, und die auch wieder Elektroschrott sind, wenn man die Bank wechselt.

 

Was wir brauchen, ist ein bankenübergreifender Standard für Authentifizierungsverfahren, bei dem ich mir eine konforme Implementation aussuchen kann, die dann mit allen Banken nutzbar ist. Dabei spricht nichts dagegen, auch Implementationen auf Smartphones zu haben, denn nicht jedes Bankkonto muss unbedingt besonders gut geschützt sein - aber an der Stelle ist dann eben auch eine Abkündigung für alte OS-Versionen unnötig, denn es spricht halt auch nichts grundsätzlich dagegen, z.B. ein Zahlungsverkehrskonto mit wenig Guthaben und minimalem Kreditrahmen mit einem unsicheren Endgerät zu authentifizieren, um damit alltägliche Zahlungen maximal bequem abzuwickeln.

Genau. Deine Gedankengänge gehen in die "richtige" Richtung!

[west263]

vor 22 Minuten von mattes77:

Ich werde die Diskussion jetzt an dem Punkt nicht weiterführen. 

Danke, man muss ja auch nicht jedesmal über jedes hingehaltene Stöckchen springen. 

Ich denke nicht, das es zur letzten tagelangen Diskussion neue Erkenntnisse gibt. Von daher könnte man ja bei anstehenden Fragen auch dahin verweisen.

[Staatenverbund]

vor einer Stunde von Totti3004:

Und das weißt du woher? Ich würde mit einem 6 Jahre alten Rechner mit 6 Jahre alter Software (denn um die Software geht es hier ja!) kein Online-Banking mehr betreiben.

Natürlich nicht mit 6 Jahre alter Software. Und nein, es geht leider ja nicht nur um die Software, denn welche Software man verwenden kann, hängt ja leider von der Hardware ab. Eine Abkündigung der Unterstützung alter Android-Versionen wäre ja kein großes Problem, wenn jeder die Software auf seinem Smartphone einfach updaten könnte. Das Problem ist, dass Leute so gezwungen sind, funktionsfähige Elektronik wegzuwerfen.

vor einer Stunde von Totti3004:

Nein, daran ist gar nichts absurd. Das ist die einfache Reaktion auf Sicherheitsrisiken, die man bei Inbetriebnahme schlicht noch nicht kannte oder die sich erst im Laufe der Zeit entwickelt haben. 

Wie ich gerade eben erklärt habe, existierten die Sicherheitsrisiken bei Inbetriebnahme schon, und wie ich ebenfalls gerade eben erklärt habe, waren sie im Grundsatz auch schon bekannt. Und wie ich ebenfalls gerade eben erklärt habe, gibt es ja (deutlich) ältere Authentifizierungsmechanismen, die unter Berücksichtigung dieser Erkenntnis konstruiert wurden, und die deshalb, vollkommen unüberraschend, auch heute noch als sicher gelten.

 

Aber nun, Du wirst sicher in sechs Jahren, wenn die Unterstützung für die heute aktuellen Android-Versionen abgekündigt wird, weil inzwischen zu viele der heute bereits existierenden Sicherheitslücken darin öffentlich bekannt sind, und wenn chipTAN immernoch sicher ist, wieder behaupten, man hätte das ja nicht voraussehen können, und man müsse nun ja halt auf Sicherheitsrisiken reagieren, die sich "im Laufe der Zeit entwickelt haben"?

[odensee]

vor 1 Stunde von Totti3004:

Ich würde mit einem 6 Jahre alten Rechner mit 6 Jahre alter Software (denn um die Software geht es hier ja!) kein Online-Banking mehr betreiben. 

Diesen Beitrag hier schreibe ich gerade auf einem 8 Jahre alten Notebook mit aktuellem und gepatchten Windows 10. Geht. Dank neu eingesetzter SDD für um die 30 Euro auch sehr zügig. Ja, ich weiß, dass LinuxBoys Windows grundsätzlich für unsicher halten. Und ja: ich könnte auf dem Ding hier auch ein aktuelles Linux installieren. Läuft auch.  @Staatenverbund hat meiner Meinung nach völlig recht mit seinem Beitrag.